elena@8layer-latam.com
Elena Farfan hace 1 año
elena@8layer-latam.com #cyberseguridad

Cuídate De Esta Nueva Vulnerabilidad De Windows

Una nueva vulnerabilidad critica para entornos Microsoft Office que permite ejecución de código remoto.

El lunes 30 de mayo de 2022, Microsoft emitió un CVE-2022-30190 con respecto a la vulnerabilidad de la Herramienta de diagnóstico de soporte técnico de Microsoft (MSDT) en Windows.


En síntesis, de acuerdo a la investigación en seguridad de Kevin Beaumont en donde la bautizó como "Follina", la vulnerabilidad se ejecuta a través de un archivo de texto "DOC", o según reportes de pruebas realizadas en ambientes controlados, RTF(formato de texto enriquecido) que podría ejecutar código malicioso invocando la MSDT(Herramienta de diagnóstico de Microsoft) e " instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario". Además la investigación arrojó incluso que no es necesario ejecutar el archivo malicioso y bastaría con previsualizarlo en el Explorador de archivos de Windows.


Según la propia Microsoft, nos recomienda deshabilitar tal herramienta como solución provisoria:


"Para deshabilitar el protocolo de dirección URL de MSDT


La desactivación del protocolo MSDT URL impide que los solucionadores de problemas se inicien como vínculos, incluidos los vínculos en todo el sistema operativo. Todavía se puede acceder a los solucionadores de problemas mediante la aplicación "Obtener Ayuda" y en la configuración del sistema como “Otros solucionadores de problemas o adicionales". Siga estos pasos para deshabilitar:


1)Ejecute el símbolo del sistema como administrador.


2)Para hacer una copia de seguridad de la clave del Registro, ejecute el comando "reg export HKEY_CLASSES_ROOT\ms-msdt filename"


3)Ejecute el comando "reg delete HKEY_CLASSES_ROOT\ms-msdt /f" "


También en el artículo se indica cómo revertir el cambio y nos informa que Windows Defender ya puede detectar y proteger los sistemas, mientras se trabaja en una solución definitiva.


Referencias:

https://nakedsecurity.sophos.com/2022/05/31/mysterious-follina-zero-day-hole-in-office-what-to-do/


https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/


https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e


1
240

Login to Post comments

Comentarioss 0
CISA agrega 10 nuevas vulnerabilidades conocidas explotadas activamente a su catálogo

CISA agrega 10 nuevas vulnerabilidades conocidas explotadas activament...

defaultuser.png
Elena Farfan
 hace 9 meses
Día Mundial de la Contraseña

Día Mundial de la Contraseña

defaultuser.png
Elena Farfan
 hace 1 año
¿Qué es el autoservicio de TI y por qué lo necesitas?

¿Qué es el autoservicio de TI y por qué lo necesitas?

defaultuser.png
Elena Farfan
 hace 4 meses
Necesitamos una cultura preventiva en ciberseguridad

Necesitamos una cultura preventiva en ciberseguridad

defaultuser.png
Elena Farfan
 hace 6 meses
¿Qué es un "interruptor de hombre muerto"? y qué relación tiene con el hombre detrás del antivirus McAfee

¿Qué es un "interruptor de hombre muerto"? y qué relación tiene con el...

defaultuser.png
Elena Farfan
 hace 7 meses